Zabezpieczenia w usłudze Microsoft Power Platform
Power Platform daje możliwość szybkiego i łatwego tworzenia kompleksowych rozwiązań w rękach zarówno nieprofesjonalnych, jak i profesjonalnych programistów. Bezpieczeństwo tych rozwiązań ma krytyczne znaczenie. Power Platform jest zbudowany tak, aby zapewnić wiodącą w branży ochronę.
Organizacje przyspieszają swoje przejście do chmury, włączając zaawansowane technologie do operacji i podejmowania decyzji biznesowych. Coraz więcej pracowników pracuje zdalnie. Zapotrzebowanie klientów na usługi online gwałtownie rośnie. Tradycyjne zabezpieczenia aplikacji lokalnych już nie wystarczają. Organizacje poszukujące natywnego w chmurze, wielowarstwowego i dogłębnego rozwiązania bezpieczeństwa dla swoich danych analityki biznesowej zwracają się do Power Platform. Agencje bezpieczeństwa narodowego, instytucje finansowe i służby zdrowia powierzają Power Platform swoje najbardziej wrażliwe informacje.
Microsoft od połowy 2000 roku poczyniła ogromne inwestycje w bezpieczeństwo. Ponad 3500 Microsoft inżynierów pracuje nad proaktywnym rozwiązywaniem problemów związanych z ciągle zmieniającym się krajobrazem zagrożeń. Microsoft Bezpieczeństwo zaczyna się od jądra wbudowanego systemu BIOS i rozciąga się aż do doświadczenia użytkownika. Obecnie nasz stos bezpieczeństwa jest najbardziej zaawansowany w branży. Microsoft jest powszechnie postrzegana jako światowy lider w walce ze złośliwymi podmiotami. Miliardy komputerów, biliony loginów i zettabajty danych są powierzone Microsoft jego ochronie.
Power Platform opiera się na tym bardzo mocnym fundamencie. Używa tego samego stosu zabezpieczeń, który zapewnia platformie Azure prawo do obsługi i ochrony najbardziej poufnych danych na świecie. Integruje się z najbardziej zaawansowanymi narzędziami do ochrony informacji i zgodności z usługą Microsoft 365. Power Platform zapewnia kompleksową ochronę zaprojektowaną z myślą o najtrudniejszych problemach naszych klientów w erze chmury:
- Jak kontrolować, z kim mogą się łączyć, skąd się łączą i jak się łączą? Jak można kontrolować połączenia?
- Jak przechowywane są dane? Jak to jest zaszyfrowane? Jaką kontrolę mamy nad naszymi danymi?
- Jak możemy kontrolować i chronić nasze wrażliwe dane? Jak możemy mieć pewność, że nasze dane nie wyciekną poza organizację?
- Jak możemy kontrolować, kto co może robić? Jak można szybko zareagować, jeśli wykryjemy podejrzane działanie?
Ład korporacyjny
Usługa Power Platform podlega postanowieniom Microsoft dotyczącym usług online i zasadom Microsoft zachowania poufnościinformacji w przedsiębiorstwie. Informacje na temat lokalizacji przetwarzania danych można znaleźć w Postanowieniach Microsoft dotyczących usług online i Aneksie dotyczącymochrony danych.
Microsoft Centrum zaufania jest podstawowym źródłem informacji o Power Platform zgodności. Dowiedz się więcej na stronie Microsoft Oferty zgodności.
Usługa Power Platform jest zgodna z cyklem rozwoju bezpieczeństwa (Security Development Lifecycle – SDL). SDL to zestaw ścisłych praktyk, które wspierają zapewnienie bezpieczeństwa i wymogi zgodności. Dowiedz się więcej na stronie Microsoft Security Development Lifecycle Practices (Praktyki cyklu życia tworzenia zabezpieczeń).
Wspólne koncepcje bezpieczeństwa Power Platform
Power Platform zawiera kilka usług. Niektóre z koncepcji bezpieczeństwa, które omówimy w tej serii, odnoszą się do wszystkich z nich. Inne pojęcia są specyficzne dla poszczególnych służb. Tam, gdzie koncepcje bezpieczeństwa są inne, będziemy je wymieniać.
Koncepcje bezpieczeństwa, które są wspólne dla wszystkich usług Power Platform, obejmują:
- Architektura usług Power Platform, czyli jak informacje przepływają przez system
- Uwierzytelnianie w Power Platform usługach, czyli sposób, w jaki użytkownicy uzyskują dostęp do usług
- Nawiązywanie połączenia ze źródłami danych i uwierzytelnianie się z nimi, czyli sposób, w jaki usługi łączą się ze źródłami danych, a użytkownicy uzyskują dostęp do danych
- Przechowywanie danych w Power Platform lub sposób ochrony danych, niezależnie od tego, czy są w spoczynku, czy w trakcie przesyłania między systemami i usługami
Power Platform architektura usługi
Power Platform usługi są oparte na platformie przetwarzania w chmurze platformy Azure Microsoft. Architektura usług Power Platform składa się z czterech komponentów:
- Klaster front front frontu sieci Web
- Klaster back-end
- Infrastruktura premium
- Platformy mobilne
Klaster front front frontu sieci Web
Dotyczy usług Power Platform, w których jest wyświetlany interfejs użytkownika sieci web. Klaster web front-end serwuje przeglądarce użytkownika stronę główną aplikacji lub serwisu. Wykorzystuje Microsoft Entra do wstępnego uwierzytelnienia klientów i zapewnienia tokenów dla kolejnych połączeń klientów z usługą back-end Power Platform.
Klaster sieci web składa się z witryny sieci ASP.NET uruchomionej w środowisku Azure App Service. Gdy użytkownik odwiedza usługę Power Platform lub aplikację, usługa DNS klienta może uzyskać najbardziej odpowiednie (zwykle najbliższe) dane z Azure Traffic Manager. Aby uzyskać więcej informacji na temat tego procesu, zobacz Wydajna metoda routingu ruchu w usłudze Azure Traffic Manager.
Klaster web front-end zarządza sekwencją logowania i uwierzytelniania. Uzyskuje token dostępu Microsoft Entra po uwierzytelnieniu użytkownika. Komponent ASP.NET przetwarza token, aby określić, do jakiej organizacji należy użytkownik. Następnie komponent konsultuje się z globalnym serwisem back-endow Power Platform, aby wskazać przeglądarce, w którym klastrze back-endow znajduje się dzierżawy organizacji. Kolejne interakcje klienta zachodzą bezpośrednio z klastrem back-end, bez potrzeby korzystania z pośrednictwa front-endu sieciowego.
Przeglądarka pobiera zasoby statyczne, takie jak pliki .js, .css i obrazy, głównie z sieci dostarczania treści (CDN) Azure. Wyjątek stanowią wdrożenia klastrów dla instytucji rządowych. Ze względu na zgodność z przepisami te wdrożenia pomijają Azure CDN. Zamiast tego używają klastra web front-end ze zgodnego regionu do hostowania statycznych treści.
Klaster back-end Power Platform
Klaster back-end jest podstawą wszystkich funkcjonalności dostępnych w usłudze Power Platform. Składa się on z punktów końcowych usług, usług działających w tle, baz danych, pamięci podręcznych i innych komponentów.
Koniec jest dostępny w większości regionów platformy Azure i jest wdrażany w nowych regionach w ich przypadku. W jednym regionie może znajdować się wiele klastrów. Ta konfiguracja umożliwia usługom Power Platform nieograniczone skalowanie poziome po osiągnięciu limitów skalowania pionowego i poziomego pojedynczego klastra.
Klastry back-end są klastrami typu stanowego (stateful). Klaster back-end przechowuje wszystkie dane wszystkich przypisanych do niego lokatorów. Klaster zawierający dane określonego dzierżawcy jest nazywany klastrem macierzyscy dzierżawcy. Informacje o macierzystym klastrze uwierzytelnionego użytkownika są dostarczane przez globalną usługę Power Platform do klastra web front-end. Front-end używa tych informacji, by kierować żądania do macierzystego klastra back-end lokatora.
Metadane i dane lokatorów są przechowywane w granicach klastra. Wyjątkiem jest replikacja danych do drugiego klastra back-end, który znajduje się w sparowanym regionie w tej samej geografii Azure. Drugi klaster służy jako awaryjne rozwiązanie w przypadku awarii w regionie i jest pasywny w każdym innym momencie. Mikroserwisy działające na różnych maszynach w sieci wirtualnej klastra obsługują także funkcje back-end. Tylko dwa z tych mikroserwisów są dostępne z publicznego internetu:
- Usługa bramy
- Azure API Management
Infrastruktura premium Power Platform
Power Platform Premium zapewnia dostęp do rozszerzonego zestawu łączników w ramach płatnej usługi. Twórcy Power Platform nie są ograniczeni w używaniu złączy premium, ale użytkownicy aplikacji są. Oznacza to, że użytkownicy aplikacji, która zawiera łączniki premium, muszą mieć odpowiednią licencję, aby mieć do nich dostęp. Usługa Power Platform back-end określa, czy użytkownik ma dostęp do łączników typu premium, czy nie.
Platformy mobilne
Power Platform obsługuje aplikacje na Android, iOS i Windows (UWP). Zagadnienia dotyczące bezpieczeństwa aplikacji mobilnych dzielą się na dwie kategorie:
- Komunikacja z urządzeniem
- Aplikacja i dane na urządzeniu
Komunikacja z urządzeniem
Aplikacje mobilne Power Platform korzystają z tego samego połączenia i sekwencji uwierzytelniania, które są używane w przeglądarkach. Aplikacje na Android i iOS otwierają sesję przeglądarki w aplikacji. Aplikacje Windows używają brokera do ustanowienia kanału komunikacyjnego z usługami Power Platform w procesie logowania.
Poniższa tabela przedstawia obsługę uwierzytelniania opartego na certyfikatach (CBA) w aplikacjach mobilnych:
| Pomoc techniczna CBA | iOS | Android | Okna |
|---|---|---|---|
| Zaloguj się w usłudze | Obsługiwane | Obsługiwane | Nieobsługiwane |
| Wstępne połączenie usługi AD Z USŁUGAMI SSRS (połączenie z serwerem SSRS) | Nieobsługiwane | Obsługiwane | Nieobsługiwane |
| Serwer proxy aplikacji SSRS | Obsługiwane | Obsługiwane | Nieobsługiwane |
Aplikacje mobilne aktywnie komunikują się z usługami Power Platform. Statystyki użytkowania aplikacji i podobne dane są przekazywane do serwisów monitorujących użytkowanie i aktywność. Nie zawiera danych klientów.
Aplikacja i dane na urządzeniu
Aplikacja mobilna i wymagane przez nią dane są bezpiecznie przechowywane na urządzeniu. Microsoft Entra i tokeny odświeżania są przechowywane przy użyciu standardowych środków bezpieczeństwa.
Dane buforowane na urządzeniu obejmują dane aplikacji, ustawienia użytkownika oraz pulpity i raporty, do których dostęp uzyskano podczas poprzednich sesji. Pamięć podręczna jest przechowywana w piaskownicy w wewnętrznej pamięci masowej. Pamięć podręczna jest dostępna tylko dla danej aplikacji i może być zaszyfrowana przez system operacyjny.
- iOS: Szyfrowanie jest automatyczne po ustawieniu kodu dostępu przez użytkownika.
- Android: Szyfrowanie można skonfigurować w ustawieniach.
- Windows: szyfrowanie jest obsługiwane przez BitLocker.
Microsoft Szyfrowanie na poziomie plików usługi Intune może służyć do ulepszania szyfrowania danych. Intune to usługa programowa, która umożliwia zarządzanie urządzeniami mobilnymi i aplikacjami. Wszystkie trzy platformy mobilne obsługują Intune. Gdy usługa Intune jest włączona i skonfigurowana, dane na urządzeniu przenośnym są szyfrowane oraz nie można zainstalować aplikacji usługi Power Platform na karcie SD.
Aplikacja systemu Windows obsługuje także ochronę informacji systemu Windows (WIP).
Dane z pamięci podręcznej są usuwane, gdy użytkownik:
- odinstalowuje aplikację
- wypisuje się z usługi Power Platform
- nie udaje się zalogować po zmianie hasła lub wygaśnięciu tokena
Lokalizacja jest włączona lub wyłączona jawnie przez użytkownika. Jeśli ta opcja jest włączona, dane geolokalizacyjne nie są zapisywane na urządzeniu i nie są udostępniane Microsoft.
Powiadomienia są włączane lub wyłączane jawnie przez użytkownika. Jeśli powiadomienia są włączone, systemy Android i iOS nie obsługują wymagań dotyczących rezydencji danych geograficznych.
Usługi Power Platform mobilne nie mają dostępu do innych folderów aplikacji ani plików na urządzeniu.
Niektóre dane uwierzytelniania opartego na tokenach są dostępne dla innych Microsoft aplikacji, takich jak Authenticator, w celu włączenia logowania jednokrotnego. Dane te są zarządzane przez Microsoft Entra Authentication Library SDK.
Powiązane artykuły
Uwierzytelnianie w Power Platform usługach
Nawiązywanie połączenia ze źródłami danych i uwierzytelnianie się z nimi
Przechowywanie danych w Power Platform
Power Platform Najczęściej zadawane pytania dotyczące bezpieczeństwa
Zobacz też
- Bezpieczeństwo w Microsoft Dataverse
- Microsoft Postanowienia dotyczące usług online
- Microsoft Zasady zachowania poufności informacji w przedsiębiorstwie
- Aneks dotyczący ochrony danych osobowych
- Microsoft Praktyki w zakresie cyklu życia tworzenia zabezpieczeń
- Metoda routingu ruchu wydajnościowego dla usługi Azure Traffic Manager
- Microsoft Intune
- Windows Information Protection (WIP)